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Die folgenden Angaben sind den vom Anmelder eingereichten Unteriagen entnommen 

@ Verfahren zur Verhinderung von missbrauchlicher Verwendung von lizenzierter Software auf 
Perso na I com p ute rn 

@ Die missbrauchliche Mehrfachverwendung von Soft- 
wareprodukten, die fur Personalcomputer lizenziert wur- 
den, wird uber eine kryptographrsche Anbindung der Pro- 
duktidentifikation und des Lizenzinhaltes an eine kunden- 
eigene PKI-Karte verhindert sowie uber ein dezldiertes 
Verfahren, das den Lizenzinhaber dazu zwingt, jede Instal- 
lation und Deinstallation des Produktes ink!, einer hard- 
waremaBigen Zuorndung auf der PKI-Karte registrieren 
zu lassen. 

Im Gegensatz zu anderen Verfahren vermeidet das erfin- 
dungsgemaSe Verfahren eine Registrierung des Nutzers 
beim Herstelle des Software produktes vollstandig. Der 
Nutzer wahrt demnach seine voile Anonymitat, und der 
Hersteller des Softwareproduktes benotigt keinerlei Infra- 
struktur fur die Verwaltung von Nutzerdaten. Das Verfah- 
ren ermoglicht hohe Flexibilitat bei der Definition der 
moglichen Lizenzinhalte und eriaubt dem Nutzer insbe- 
I sondere einen problemlosen Transport seiner Lizenz von 
einem fruheren auf einen neuen Personalcomputer. 
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Beschreibung 

1. Wirtschaftlicher Hinteigrund, Aufgabe und Losung des 
erfindungsgemaBen Verfahrens 

[0001] PC-Software fiir kommerzielle Zwecke, gleich, ob 
geschaftlicher (z. B. Buroanwendung), technischer (z. B. 
Datenbanksoftware) oder unterhaltsamer Art (z. B. Compu- 
terspiele), wird heute i.d.R. im Handel oder Fachhandel als 
fertiges Produkt und meistens mit CD-ROMs als Datentra- 
ger verkaufl. Alle HersteUer von Softwareprodukten klagen 
uber ein hohes MaB an Raubkopien und unberechtigter Nut- 
zung der gekauften Software durch Dritte, denn der Kaufer 
des Softwareprodukte hat ja in aller Regel lediglich eine 
Nutzungslizenz erworben, die sich zudem nur auf die Instal- 
lation auf einem Personalcomputer zu einem Zeitpunkt ear- 
stieckt 

[0002] Die heute bekannten L5sungen ftir dieses Problem 
lassen sich grob in vier Kategorien einteilen: 

1. Die auf dem Rechner instailierte Software enthalt 
Codestiicke, die an sich fiir den funktionalen Ablauf 
unwesentlich sind, aber auf den extemen Datentrager 
zugreifen und dessen Vorhandensein und Korrektheit 
priifen. Da der sich jeweils nur an einem Ort befinden 
kann, ist zumindest eine parallele Mehrfacbnutzung 
der Software ausgeschlossen. 

2. CD-ROMs als Datentrager werden mit speziellen 
hardwaieorientierten Mitteln gegen kopieren (CD- 
Brenner) geschiitzt, z. B. mit Laserlock. Das fuhrt zu- 
mindest dazu, dass die Software zu einem Zeitpunkt 
nur an einer Hardware installiert werden kann. ^for se- 
quenzieller Installation an mehreren Rechncm schutzt 
es natiirlich nicht. 

3. Fiir bestimmte Einsatzfalle, besonders im geschaft- 
Hchen TJmfeld, werden haufig Dongles eingesetzl. In 
ihrer Funktionsweise gleichen sie stark Methode 1, mit 
dem Unterschied, dass der Dongle einen geheimen 
SchlQssel enthalt oder auch bestimmte Codestiicke, 
ohne die die zu schiitzende Software nicht weiter arbei- 
ten kann. 

4. In neuerer Zeit wird ein Verfahren eingesetzt, das 
den Nutzer dazu zwingt, sich bei Benutzung der Soft- 
ware beim Softwarehersteller mit der individuellen Se- 
riennununer der Software (Key-Code) registrieren zu 
lassen und dabei auch Kennnummem fiir die einge- 
setzte Hardware mitzuteilen. Der Zwang erfolgt ahn- 
lich wie bei (1) und (3) Uber eingebaute Codestiicke, 
die das Programm bei >richtregistrierung gewaltsam 
beenden. "Ober die RegisUierung stellt es der HersteUer 
fest, wenn ein und die selbe Seriennummer auf mehre- 
ren Rechner-Kennnummem eingesetzt werden soU und 
kann es verhindem. 

[0003] Es ist aber bekannt, dass alle diese Wege nur sehr 
begrenzten Erfolg versprechen. Die Methode 1 wird von 
Crackera durch relativ kleine Software-Patches unterlaufen, 
die die kontroUierenden Codestiicke der installierten Soft- 
ware (auf der Festplatte) einfach iiberschreiben. Solche Pat- 
ches sind leicht im Internet erhaltlich und deshalb auch von 
Nutzem ohne Programmierkennlnisse einfach einzusetzen 
(besonders bei Jugendlichen fur Spiele beliebt). In absehba- 
rer Zeit diirfte auf diese Weise auch Methode 4 konteiicariert 
werden. Methode 4 hat zusatzUch den Nachteil, dass sie von 
breiten Kauferkreisen wegen des potenziellen Anonymitats- 
verlustes schlecht akzeptiert wird. 

[0004] Methode 2 wird meistens durch verbesserte Ko- 
pieiprogramme fur CD-Brenner unterlaufen. Solche Pro- 



gramme ignorieren die auf den CDs absichtlich eingebauten 
Fehlerspuren und erstellen ein bitgenaues Abbild des Origi- 
nal-Datentragers, womit es von diesem nicht mehr unter- 
scheidbar ist 

5 [0005] Methode 3 ist in bestimmten Fallen wirksamer als 
Methode 1 (wenn auf dem Dongle notwendige CodestUcke 
des Softwaieproduktes abgelegt sind), aber fiir die Dblichen 
Anwendungs^e im kommerziellen und privaten Bereich 
nicht praktikabel, weil kein Softwardiersteller jeden seiner 

10 Kunden mit einem Dongle ausstatten mochte; das ware viel 
zu teuer und umstandlich. 

[0006] Die vorliegende Erfindung schlagt deshalb einen 
grundsatzlich anderen Weg ein. Als Mittel fur Authwitifizie- 
rung und KontroUe werden sog. PKI-Karten eingesetzt, die 
15 sich aufgrund ihrer anerkannten Sicherheitsstruktur ideal fur 
solche Zwecke eignen. Solche Karten sipd heute schon weit 
verbreitet, und durch neue Anwendungen wie digitale Si- 
gnatur, Geldkarte, electronic Banking usw. werden sie sich 
kurzfristig noch starker durchsetzen, Der Einsatz der PKI- 
20 Karte wird kombiniert mit einer nicht umgehbaren Inteme- 
tanbindung an einen Server des Herstellers bei der Installa- 
tion des Softwareproduktes. Die Absicherungen erfolgen 
durch massiven Einsatz von asymmetrischer und symmetri- 
scher Verschliisselungstechnik, sowohl innerhalb des Soft- 
25 wareproduktes als auch in der PKI-Karte und im HersteUer- 
Server. Funktional soli mit dem erfindungsgemaBen Verfah- 
ren folgende Aufgabe gelost werden: 

- FUr ein gegebenes Softwareprodukt auf einem exter- 
30 nen Datentrager soUen auf rein elektronischem Weg 

lizenzen mit frei wahlbaren Lizenzinhalten vergeben 
werden konnen; vor allem in Bezug auf parallele und 
sequenzieUe Lauffahigkeit der Software auf verschie- 
denen Rechnem. Der Nutzer kann sich darauf verlas- 
35 sen, dass er die erworbene Software genauso einsetzen 
karm, wie es die erworbene Lizenz gestattet. Bei den 
wahlbaren Lizenzinhalten soli insbesondere die Mog- 
lichkeit bestehen. Software legal von einem Rechner 
auf einen anderen zu "transportieren". 
40 - Die eingesetzten Absicberungs- und Authentifizie- 
rungsmafinahmen gegen missbrauchliche Verwendung 
sollen auch AngrifiFrai von versierten Nutzem mit inter- 
nen Progranmi- und Programmierkenntnissen stand 
halten. Insbesondere sollen diese MaBnahmen die zu 
45 schiitzende Software immun gegen Patches jedweder 
Art machen. 

- Nicht auszuschlieBende erfolgreiche Angriffe sollen 
hochstens individueUen Charakter haben, also nicht 
massMihaft verbreitungsfahig sein, z. B. durch Versen- 

50 den von Upps oder Software iiber das Internet. 

- Die voUe Anonymitat jedes Nutzers soil wahrend 
der gesamten Nutzungszeit der lizenzierten Software 
gewahrt bleiben. 

- Dor Softwareherstellea: soli weda: gezwungen noch 
55 berechtigt sein, seine Nutzor mit ihren Seriennummem 

o. a. zu registrieren und zu iiberwachen; auch eine 
Kennzeichnung jedes individuellen Produktes (Key- 
Code) soLL iiberfliissig sein. 

- Die Absicherung der Lizenz gegen Missbrauch soli 
60 unabhangig von den hardwaremafiigen Eigenschaften 

des Datentragers sein, insbesondere unabhangig von 
dessen etwaiger Kopierfahigkeit. 

[0007] Zur Erreichung dieses Sels werden im wesenlli- 
65 chen folgende Verf ahrensschritte und Hilf smittel eingesetzt: 

- Ein Zertifikat fiir ein Softwareprodukt fur einen Nut- 
zer entsteht aus einer datenmaBigen Veriaiupfimg zwi- 
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schen der Produktidentifikation und der Identifikation 
einer nutzereigenen PKI-Karte sowie einem definierten 
LizenzinhalL Die Verknupfung wird durch eine herstel- 
lereigene digitale Signatur zweifelsfrei abgesichert und 
dadurch zu einem sicheren und nachpriifbaren Zertifi- 5 
kaL Dieser Vorgang lauft beim Kauf uber das Intonet 
an der Verkaufsposition (Ladentheke) ab. 

- Bei der Brsdnstallation wird der Zerdfikatsinhalt um 
eine Identifikation der Hardware etganzt und auf die 
PKI-Karte geschrieben. Dies geschieht unter der \for- lO 
aussetzung, dass die Karte uber einen geschiitzten Be- 
reich verfugt, der nur mil einem herstellerspezifischen 
Passwort beschrieben werden kann. 

- Bei jeder Installation der Software steckt der Nutzer 
die fiirs Zertifikat verwendete PKI-Karte in einen Kar- 15 
tenleser, der an seinen PC angeschlossen ist. Die Instal- 
lationsprozedur selbst befindet sich nicht oder nur zum 
kleinen Teil auf dem Datentrager. Statt dessen stellt sie 
eine Intemetverbindung zum Herstellerserver her. Von 
dort wird sie ganz oder in wesentlichen Teilen herun- 20 
tergeladen. Dies geschieht jedoch erst, nacbdem der 
Server Zertifikat, Produktidentifikation, Kartenidentifi- 
kation und Hardwareidentifikation mit positivem Er- 
gebnis miteinander veiglichen hat 

25 

[0008] Das erfindungsgemaBe Verfahren benotigt keiner- 
lei Registrierung auf Seiten des Herstellers. Der Server be- 
schrankt sich ausschUeBlich auf die KontroUe der empfan- 
genen Daten, eventuell Update und Uberspielung der Instal- 
lationsprozedur bzw. auch Startprozedur an den Nutzer-PC. 30 
Deshalb bleibt auch der Nutz^ voUkommen anonym, selbst 
dann, wean er eine personliche PKI-Kaite o. a. einsetzt 

2. Definitionen und Voraussetzungen 

35 

[0009] Wir legen fiir die Detailbeschreibungen einige Be- 
grifFe fest und identifizieren generelle Vbraussetzungen. 
[0010] Als intelligente Speicherkarten werden in der Lite- 
ratur Chipkarten bezeichnet, die sowohl uber einen be- 
schreibbaren und wiederbeschreibbaren (nicht fluchtigen) 40 
Speicher vertilgen als auch iiber eigene unveranderliche 
Identifikation und u. U. zusatzliche Sicherheitslogiken, z. B. 
die Festlegung von geschiitzten Speicherbereichen, die nur 
mit Passwort zuganglich sind. Programmierbarkeit wird fiir 
intelligente Speicherkarten in der Regel nicht gefordert 45 
Beispiele fur intelligente Speicherkarten sindTelefonkarten, 
Bankkarten usw. 

[0011] PKI-Karten sind intelligente Chipkarten, die zu- 
satzlich mit einem oder mehreren Schliisselpaaren fiir asym- 
metrische Ver- und Entschlusselungsverfahren ausgestattet 50 
sind und natiirlich uber die Programmlogik verfiigen, um 
Ver- und Entschliisselungen intern durchzufuhren sowie 
passwortgeschutzte Schreib- und Leseaktionen. Wir setzen 
zusatzlich voraus an, dass unsere PKI-Karten ein spezielles 
Schreibkonmiando WRTTEPROTECT verstehen, fiir das 55 
der mitgegebene (verschliisselte) Ifext zunachst mit dem ei- 
genen privaten Schliissel entschlusselt wird, und dann in 
Abhangigkeit vom mitgeUeferten korrekten Passwort eine 
Schreiboperation ausgefuhrt wird. Die eindeutige und un- 
veranderliche Identifikation der PKI-Karte nennen wir im 60 
folgenden K. 

[0012] Die Falschungs- und Kopiersicherheit von Chip- 
karten sind Grundvoraussetzungen fiir aUe nachfolgenden 
Ausfuhrungen. Dies bezieht sich sowohl auf Geheimhaltung 
bzw. Unveranderlichkeit von privaten und ofifentlichen 65 
Schlusseln als auch auf die Ecfatheit aller durchgefuhrten 
Funktionen auf den Speicho-n und mit dem Betriebssystem 
der Karte. 



[0013] Unter einem Softwareprodukt P verstehen wir ein 
als wirtschaftliche Einheit am Markt angebotenes Pro- 
grammsystem auf einem Datentrager (meistens eine CD- 
ROM), dessen Nutzung der Hersteller dem Kaufer entspre- 
chend einem vereinbarten Liz^^nbalt gestatten wilL 
[0014] Der Lizenzinhalt L beschreibt im einzelnen, zu was 
der Lizaazinhaber bzgL des Softwareproduktes bcrechtigt 
ist Wir geben zwei Beispiele: 

1. Der haufigste Lizenzinhalt ist die Erlaubnis, das 
Softwareprodukt zu einem Zeitpunkt auf genau einem 
Personalcomputer zu nutzen. Es ist demnach nicht er- 
laubt, das Produkt gleichzeitig auf zwei Personalcom- 
putem zu install ieren. Hingegen ist es meistens erlaubt, 
dies sequenziell zu tun, d h. fiir einen bestimmten Zeit- 
ratmfi auf einem Personalcomputer A zu nutzen, das 
Produkt dort dann zu deinstallieren und es anscblie- 
Bend auf einem Personalcomputer B zu installieren und 
zu nutzen. Ebenso ist es erlaubt, das Produkt auf einem 
neuen Personalcomputer zu nutzen, wenn der alte un- 
brauchbar wurde. Eine Weitemutzung oder Neuinstal- 
lation auf dem alten ist damit aber unzulassig. 

2. Ein ebenfalls denkbarer Lizenzinhalt ist die Erlaub- 
nis, das Softwareprodukt auf maximal einer festgeleg- 
ten Anzahl von frei wahlbaren Personalcomputem zu 
nutzen, sequenziell oder parallel. Sind diese einmal ge- 
wahlt, konnen keine anderen mehr gewahlt werden, je- 
der weitere Personalcomputer ist unzulassig. 

[0015] Ein Zertifikat Zp^k.l fur ein gegebenes Software- 
produkt P, eine gegebene PKI-Karte K und einen gegebenen 
Lizenzinhalt L ist eine zeichenmaBige Verkettung von P, K 
und L, die vom Horsteller des Softwareproduktes digital si- 

gni^t ist 

[0016] Eine Nutzungslizenz fur ein gegebenes Software- 
produkt ist schlieBlich die gleichzeitige Verfiigbarkeit einer 
PKI-Karte und eines Zertifi kates, das fiir das gegebene Soft- 
wareprodukt, den zugehorigen Lizenzinhalt und diese PKI- 
Karte ausgestellt isL 

[0017] Eine Installationsprozedur fiir ein Softwareprodukt 
ist ein Programm, das die auf CD-ROM liegende Software 
des Produktes auf dem Betriebssystem des Ziebechners so 
ablegt und bekannt macht und integriert, dass sie dort aufge- 
rufen und zum Ablauf gebracht werden kann. Ublicherweise 
ist die Installationsprozedur ebenfalls auf der CD-ROM ab- 
gelegt Unser Verfahren basiert darauf, dass diese Prozedur 
ganz oder zu wesentlichen Teilen nur iiber den Intemet-Ser- 
VCT des Herstellers zu beziehen ist, also nicht auf der CD- 
ROM liegt 

[0018] Die Hardwareidentifikation eines Personalcompu- 
ters ist eine Kombination von Seriennummem einzelner 
Hardwarekomponenten, die diesen PC insgesamt eindeutig 
identifizieren. 

[0019] Der Herstellerserver ist ein iiber Internet erreichba- 
rerRechner des Softwareproduktherstellers, der bei Installa- 
tion und Deinstallation die notwendigen Dateien Uefert und 
KontroUen ausfiihrt Wir nehmen an, dass der Herstellerser- 
ver iiber einen ofifentlichen Schliissel zur Datenverschliisse- 
lung sowie einen Signaturschliissel verfugt. AuBerdem wird 
angenommen, dass auf der PKI-Karte fiir den HersteUer ein 
Schreibbereich reserviert ist, der zusatzlich passwortge- 
schiitzt isL Das Passwort ist unlesbar auf der PKI-Karte ab- 
gelegt und ansonsten nur dem Hersteller bekannt. 
[0020] Der POS (Point of Sale) ist der Ort, an dem der 
Kunde sein Softwareprodukt erwirbt. 
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3. Verfahrensbeispiei 

[0021] Wir erlautem an einem Ausfuhrungsbeispiel, wie 
eine PKI-Karte in Verbindung mit verschiedenen Xferschliis- 
selungsmethoden zur Absicherung der lizenz genutzt wer- 5 
den kann. Wir nutzai dabei die PKI-Karte ais unfalschbaren 
Identifikator mit Schlusselpaar sowie als Datenspeicher, der 
nur mit Passwortschutz beschrieben werden kann. Es gibt 
folgende Abl^ufe: 
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3.1 Erwerb einer Softwarelizenz 



a. Der Kunde nennt am POS das gewunschte Softwa- 
reprodukt P und legt seine PKI-Karte K vor. 

b. Der POS verfugt iiber einen intemetfahigen Rech- 15 
ner mit Kartenleser. Die PKI-Karte des Kunden wird 
dort eingefiihrt, und es wird eine Intemetverbindung 
zum Server des Softwaieherstellers heigestellt. 

c. Der Server liest die Identifikation K der PKI-Karte 
aus sowie den offentlichen Schlussel von K aus der 20 
mitgeteilten Produktidentifikation P, dem gewiinschten 
Lizenzinhalt L und aus K erzeugt er eine Verkettung 
und signiert diese mit der Herstellersignatur zu einem 
Zertifikat Zp,k,l. 

d. Zp,KjL wird zusammen mit dem herstellerspezifi- 25 
schen Kaitenpasswort mit dem offentlichen Schlussel 
der PKI-Karte verschliisselt, an den POS uberspielt 
und mithilfe des WRTrEPROTECT-Kommandos di- 
rekt auf die PKI-Karte geschrieben. 

e. Der Kunde bezahlt fur das erhaltene Zertifikat und 30 
fur die CD-ROM mit der Software und eriialt seine 
PKI-Karte zuriick. 

[0022] Der Ablauf wird bzgl. der zu iibertragenden Daten 
in Abb. 1 illustriert. 35 

3.2 Installation des Softwareproduktes auf dem Rechner des 

Nutzers 

[0023] Aus dem nachfolgend beschriebenen Ablauf geht 40 
hervor, dass die Installation des Softwareproduktes nicht 
ohne eine Anbindung an den Herstellrarserver moglich ist. 
Eine grafische Illustration findet sich in Abb, 2. 

a. Der Besitzer der PKI-Karte K verfugt an seinem PC 45 
iiber einen Internetanschluss und einen Kartenleser. 

b. Er startet eine vorbezeichnete Initialisierungsproze- 
dur fur das erworbene Softwareprodukt P und wahlt 
"installieren". Da die Installationsprozedur selbst nicht 
auf der CD-ROM ist, fragt die Initialisierungsprozedur 50 
den Nutzer nach einer Intemetverbindung zum Herstel- 
ler von P. Wenn die Verbindung nicht zustande kommt, 
wird der Vorgang abgebrocben. 

c. Anderenfalls wird vom Herstellerserver sowohl K 
als auch das Zertifikat 7j^^ gelesen, Zpjy^ wird auf 55 
Konsistenz gepriift und darauf, ob das darin enthaltene 

K mit der eingefuhrten PKI-Karte ubereinstimmt. Im 
negativen FaU wird die Installation abgebrochen, im 
positiven Fall stellt der Herstellerserver die Hardware- 
Identifikationsdaten des Nutz^-PCs zusammen. 60 

d. Der Hersteller- Server ermittelt anhand von Zp^K,L 
(Lizenzinhalt, eventuell schon vorhandene Hardwarei- 
dentifikation) und der aktuellen Hardwareidentitika- 
tion, ob die gewunschte Installation mit diesw Hardwa- 
reidentifikation zu-Bissig ist. Im negativen Fall wird 65 
der Vorgang abgebrochen. 

e. Anderenfalls wird Zp^c^ um die ermittelte Hard- 
ware-Identifikation erganzt und anschlieBend signiert. 



Der Server erzeugt ein Schreibkommando fur K, beste- 
hend (a) aus dem signierten Zp^l, (b) seinem Pass- 
wort, (c) Damra und Uhrzeit. Er verschlusselt das ge- 
samte Schreibkommando mit dem offentlichen Schlus- 
sel von K und sendet dra verschlusselten Satz zu K. 

f. Die PKI-Karte entschliisselt den erhallenen Satz mit 
ihrem privaten Schlussel und verifiziert das mitgege- 
bene Passwort. Falls es nicht korrekt ist, wird der Vor- 
gang abgebrochen. Anderenfalls legt sie das neue 
Zp^KjL ii^- Datum und Uhrzeit auf dem vorgesehenen 
Platzab. 

g. Der Server signiert Teil 1 der Installationsprozedur 
mit seiner Signatur und iibermittelt Teil 1 direkt in den 
Hauptspeicher des Nutzerrechners. 

h. Der Nutzerrechner priift die Signatur von Teil 1 der 
Installationsprozedur und fiihrt sie direkt aus. Der 
Code von Teil 1 enthalt u, a. einen standardmaBigen 
Ver- und Entschliisselungsalgorithmus, die Generie- 
rung eines zufalligen Prozedurschliissels PS dafur so- 
wie die Verschliisselung von PS mit dem ofifratlichen 
Schlussel des Softwareherstellers. Der so verschliis- 
selte PS wird an den Herstellerserver gesendet. PS wird 
im Hauptspeicher gehalten, aber nirgendwo abgespei- 
chert. 

i. Der Herstellerserver entschlusselt PS mit seinem 
privaten Schlussel und nutzt PS dann zur Verschlusse- 
lung von Teil 2 der Installationsprozedur. Der mit PS 
verschlusselte Ifeil 2 wird an den Nutzer-PC iibermit- 
telL 

j. Im Nutzer-PC wird Teil 2 mit PS entschlusselt und 
anschlieBend ausgefiihrt, d. h. das Softwareprodukt 
wird installiert. Danach wird die Installationsprozedur 
geloscht, ohne sie irgendwohin abzuspeichera. PS wird 
ebenfalls geloscht. Die Intemetverbindung wird been- 
det. Das Softwareprodukt ist damit installiert. 

3.3 Deinstallation des Softwareproduktes von einem Rech- 



[0024] Eine konrekte Deinstallation ist fur den Nutzer 
wichtig, weil er damit die Moglichkeit erhalt, seine Soft- 
ware ohne Einschrankung auf einen anderen Personalcom- 
puter zu "transportieren". Auch sie ist ohne Intemetanbin- 
dung und Aktualisierung des Zertifikates nicht moglich. Die 
zugehorige Deinstallationsprozedur braucht allerdings nicht 
vom Herstellerserver herunteigeladen zu werden. Sie befin- 
det sich schon auf dem Datentrager des Softwareproduktes. 

a. Der Besitzer der PKI-Karte (Nutzer) verfugt an sei- 
nem PC uber einen Intemetanschluss und einen Kar- 
tenleser, 

b. Er startet eine vorbezeichnete Initialisierungsproze- 
dur fur das erworbene Softwareprodukt und wahlt 
"deinstallieren". 

c. Der Nutzer wird aufgefordert, eine Intemetverbin- 
dung zum Herstellerserver herzustellen. Falls das nicht 
moglich ist, wird der Vorgang abgebrochen. Anderen- 
falls wu-d die Deinstallation durchgefiihrt und vom 
HCTSteUerserver auf Korrektheit und tatsachliche 
Durchfiihrung gepruft, Ist dies nicht der Fall, wird die 
Deinstallation nicht auf der PKI-Karte vermerkL 

d. Im positiven Fall liest der Server das aktueUe Zerti- 
fikat von der PKI-Karte und stellt die Hardwareidenti- 
fikation des aktuellen Rechners zusammen. Falls diese 
nicht mit einer der Hardwaieidentifikationen auf dem 
Zertifikat ubereinstiEMnt, wird die Deinstallation nicht 
auf der PKI-Karte vermerkt. 

e. Anderenfalls wird die Hardwareidentifikation des 
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aktuellen Rechuers vom Zertifikat entfemt. Das aktua- 
lisierte Zertifikat mit der Signatiir des Rechners verse- 
hen. 

f, DerHersteUa^rvererzeugtein WRTTEPROTECT- 
Kommando fiir die PKI-Karte, bestehend (a) aus dem 5 
signierten Zertifikat, (b) seinem Passwort, (c) Datum 
und Uhrzeit und sendet es zur PKI-Kaite. 

g. Die PKI-Karte CDtschlusselt den erhaltenraSatz mit 
ifarem privaten Schliissel, verifiaert das mitgegebene 
Passwort und legt das neue Zertifikat inkl. Datum und lO 
Uhrzeit auf dem vorgesehenen Platz ab. Falls das Pass- 
wort nicht koirekt ist, wird der Vorgang abgebrochen, 
Anderenfalls legt die PKI-Karte das neue Zertifikat auf 
dem vorgesehenen Bereicb ab. Damit ist die korrekte 
Deinstallation im Zertifikat vermerkL is 

4. Arbeitsweise mit der lAzjenz und M>rteile fur Nutzer und 
Ho-steUer 

[0025] Wir erlautem anhand verschiedener Falle, wie Nut- 20 
zer und Hersteller mit der ausgestellten Uzenz umgehen 
konnen. Wir nehmen dazu an, dass der vom Nutzer erwor- 
bene Lizenzinhalt dem Beispiel 1 in Kap. 2 entspricht. 
[0026] Der Nutzer kann sein Soflwareprodukt auf seinem 
zuerst gewahlten Personalcomputer beliebig oft neu instal- 25 
lieren (nach Kap. 3.2), mit oder ohne vorherige Deinstalla- 
tion. Falls er sein Produkt deinstalliert (nach Kap. 3.3), wird 
das Zertifikat auf den Status beim Kauf zuriickgesetzt. Falls 
das nicht tut (z. B. Neukonfiguration des Personalcompu- 
ter), stellt der Intemetserver bei der erneuten Installation 30 
fest, dass sich die Hardwareidentifikation nicht geandert bat 
(zul^ssige Hardwareidentifikation) und eriaubt ebenfalls die 
Installation. 

[0027] Der Nutzer kann sein Produkt beliebig oft auf ei- 

nen anderen Personalcomputer verschieben. Vor einer In- 35 
staUation auf einem neuen Personalcomputer (nach Kap. 
3.2) deinstalliert er sein Produkt auf dem alten Personalcom- 
puter (nach Kap. 3.3). Die Hardwareidentifikation des alten 
Personalcomputer wird damit geloscht, Damit ist es auch 
moglich, zu einem spat^en Zeitpunkt wieder auf den alten 40 
Personalcomputer umzusteigen. 

[0028] Wenn der alte Personalcomputer mit dem instal- 
Uerten Produkt als Ganzes unbrauchbar wird (das Plrodukt 
also evtl. nicht mehr deinstalliert werden kann), kann er das 
Produkt auf einem neuen Pwwnalcomputer installieren. In 45 
diesem Fall wird die Hardwareidentifikation des alten Per- 
sonalcomputer im Zertifikat nicht geloscht, sondern als un- 
zulassig gekennzeichnet. Dies kann er ebenfalls mehrfach 
wiederholen, Ein Zuriickgehen auf den oder die alten Perso- 
nalcomputer ist damit allerdings ein fir alle Mai ausge- 50 
schlossen. 

[0029] Der Hersteller hat mit den Aktionen des Nutzers 
praktisch keinen Verwaltungsaufwand. Der Nutzer ist ihm 
unbekannt, und er bait auch keinerlei nutzerspezifische Da- 
ten, sondern nur sein Herstellerpasswort fur alle PKI-Karten 55 
sowie die Installationsdaten, auB^dem fiir die Dauer des 
Vorgangs den vom Nutzer erzeugten Prozedurschlussel. 
Deshalb ist das ganze Verfahrra fiir den Hersteller auBerst 
ef&zienL Der Nutzer seinerseits kann sich darauf verlassen, 
dass er vollkommen anonym bleibt 60 
[0030] Wenn der Hersteller "seinen" Speicherbereich auf 
der PKI-Karte groB genug wahlt (in Absprache mit dem 
PKI-Kartenhersteller), dann kann er natiirlich auch fiir meh- 
rere Softwareprodukte genutzt werden. Der Hersteller kann 
damit bei einer Installation oder Deinstallation in idealer 65 
Weise feststcllen, ob es sich bei dem aktuellen Kunden um 
einen "sehr guten Kunden" handelt und ihm online be- 
stinunte Angebote machen. 



[0031] Das erfindungsgemaBe Verfahren ist auch geeig- 
net, die Datoitragearlogistik deutlich flexibler zu gestalten. 
Da der Code des Softwareproduktes an sich fiir den Kunden 
wertlos ist (ohne Zertifikat kann er ihn nicht ablaufen las- 
sen), miissen die Datentrager selbst nicht mehr gesichert 
werdwi. Es ist sogar denkbar, dass der Handler vom Softwa- 
reprodukthersleller uberhaupt keine CD-ROMs mehr be- 
zieht Statt dessen verfugt er iiber den Code des Software- 
produktes und kann jedem Kunden seine CD aktuell bren- 
nen. Je nach Umsatz des Handlers ist dieses N^rfahren u. U. 
deutlich preiswerter als eine zentral gesteuerte HersteUung 
und Logistik fur die Datentrager. 

5. Sicherheitsbetrachtung 

[0032] Wir listen mogliche Bedrohungsszenarien auf und 
Gd^utem, wie das erfindungsgemaBe \ferfahren dieseBedro- 
hungKi abwehrt Allgemein ist festzustellen, dass poten- 
zielle Raubkopierer entweder versuchen werden, den 
Zwang zum Update der PKI-Karte zu umgehen (Lokalisie- 
rung), oder versuchen, die auf der PKI-Karte abgespeicher- 
ten Daten selbst zu manipulieren, um negative Folgen einer 
Abfrage zu vermeiden. Auf diese beiden Strategien richtet 
sich daher unsere AufmerksamkeiL 

(1) Eine eigene Installationsprozedur sdireiben 

[0033] Raukopierer konnten versuchen, die nicht voriian- 
dene Installationsprozedur selbst zu schreiben und damit das 
Softwareprodukt zu installieren ohne Update des Zertifika- 
tes auf der PKI-Karte. Das ist zwar nicht prinzipiell ausge- 
schlossen, setzt aber eine intime Kenntnis sowohl des Be- 
triebssystems als auch des Softwareproduktes sowie profes- 
sionelle Programmierkenntnisse voraus. In der Praxis ist das 
auf breiterer Basis nicht praktikabel. 

(2) Abhoren der Installationsprozedur Teil 2 bei der Ubertra- 
gung iiber unsichere Leitungen 

[0034] Dies ist ein anderer Weg, um an den Code der In- 
stallationsprozedur zu gelangen. Die Installationsprozedur 
Teil 2 wird aber inuner verschlusselt ubertragen, mit PS als 
Schliissel. Dieser wiederum liegt nur temporar im Haupt- 
speicher und kann nicht eingesehen werden. Deshalb kann 
der Code der Installationsprozedur beim Leitungstransport 
nicht abgehort werden. 

(3) Manipulation der Installationsprozedur Teil 1 bei der 

Ubertragung 

[0035] Die Installationsprozedur Teil 1 konnte dahin ge- 
hend manipuliert werden, dass der zu erzeugende Prozedur- 
schlussel PS auf der Platte abgelegt wird (damit ware die 
Entschltisselung von Teil 2 machbar). Dies ist jedoch un- 
moglich, denn die Installationsprozedur ist zwar einsehbar, 
aber signiert mit der digitalen Signatur des Herstellerser- 
vers, deshalb kann sie nicht unbemerkt verandert werden. 

(4) Selbst die PKI Karte mit einem neuen Zertifikat be- 

schreiben 

[0036] Das ist fur den Raubkopierer nicht moglich, es sei 
denn, er ist im Besitz des herstellerspezifischen Passwortes. 

(5) Abhoren des herstellerspezifischen Passwortes fiir die 
PKI Karte 

[0037] Die Schreibkommandos an die PKI-Karte inkl.. 
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des jeweiligen Passwortes gehen als verschliisselter Daten- 
satz dort hinein (ofifentlicher Schliissel der PKI-Karte). Des- 
halb kann (auBer dem Hersteller) nur die PKI-Karte das 
Passwort erkeonen. 

5 

(6) Einen komplettes Zeitifikat aus der PKI Karte auslesen 

und auf eine andeie PKI-Karte kopieren 

[0038] Dies ist technisch moglich, aber nutzlos, denn das 
Zerdfikat enthalt ja eine untblschbare Identifikation der er- lO 
sten PKI-Karte, die sich immer von der Identifikation der 
neuen PKI-Karte unterscheiden wird. 

(7) Das Softwareprodukt auf mehreren Rechnem hinterein- 
ander installieren, ohne Deinstallation auf den friiberen is 

Rechnem 

[0039] Dies ist prinzipiell zumindest dann moglich, wenn 
der vereinbarte Lizenzinhalt besagt, dass das Produkt auf ei- 
nem neuen Personalcomputer N installiert werden darf, so- 20 
fern der alte Personalcomputer A zerstort oder unbrauchbar 
ist (der Herstellerserver kann ja nicht feststellen, ob dies tat- 
sachiich der Fall war). Die Hardwareidentifikation von A 
wLrd aber im Zertifikat als unbrauchbar notiert, damit kann 
eine emeute Installation auf A ein fiir alle Mai blockiert 25 
werden. Andererseits ist aber genau diese Moglichkeit zur 
Neuinstallation des Softwareproduktes fiir die meisten Nut- 
zer unverzichtbai; etwa nach einem Systemabsturz oder ei- 
ner UmkooliguratioD. Aus diesem Grund stellt eine mogli- 
cbe Mehrfachinstalladon kdne reale Missbrauchsgefahr dan 30 

Patentanspruche 

1. Verfahren fiir eine Absicherung von kommerzieU 
vertriebenen Softwarelizenzen an anonyme Kaufer ge- 35 
gen missbrauchliche Mehrfachverwendung, dadurch 
gekennzeichnet, dass eine PKI-Karte des Kaufers als 
sicherer Identifikator und Trager von Lizenzdaten mit 
dem zu hzenzierenden Softwareprodukt verkniipft 
wird, dass die Veriaiiipfung rein kryptographisch und 40 
softwaregestutzt arbeitet, dass jede Installation des 
Softwareproduktes an eine Intemetverbindung mit ei- 
nem Server des Herstellers gekniipft wird, dass von 
diesem Server InstaUationsdaten, speziell Hardwarei- 
dentifikationsdaten, sicher und unfalschbar auf der 45 
PKI-Karte abgeiegt werden, und dass damit jede nicht 
gewilnschte Mehrfachinstallation wLrksam verhindert 
werden kann, 

2. Verfahren unter Einsatz der PKI-Karte mit einem 
asynunetrischen Schliisselpaar und den zugehorigen 50 
Standardfunktionen (ver- und entschliisseln, lesen und 
schreiben mit/ohne Passwortschutz usw.) nach An- 
spruch 1, daduich gekennzeichnet, dass die PKI-Kar- 
tensoftware eine spezieUe passwortgeschiitzte Schreib- 
funktion enthalt, die die zu schreibenden Daten inkl., 55 
des Passwortes in verschliisselter Form erhalt, diese 
mit dem privaten Schliissel entschlusselt und die Nutz- 
daten abhangig von der Konektheit des mitgelieferten 
Passwortes auf den geschutzten Bereich schreibt. 

3. Verfahren nach Anspruch 2, dadurch gekennzeich- 60 
net, dass jedem Schreibbereich auf der PKI-Karte ein 
spezifisches Passwort und ein spezifischer Software- 
produkthersteller zugewiesen ist, und dass jedes spezi- 
fische Passwort auBerhalb der PKI-Karte nur dem spe- 
zifischen Hersteller bekannt ist 65 

4. Verfahren nach Anspruch I, dadurch gekennzeich- 
net, dass der Kauf des Softwareproduktes aus folgen- 
den Komponenten besteht: 
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i. Bildung eines Zertifikates durch den Hersteller- 
server, bestehend aus Identifikationen des ge- 
wunschten Softwareproduktes, der PKI-Karte des 
Kunden und des gewunschten Lizenztyps, das 
Ganze signiert mit der digilalen Signatur des Her- 
stellers» 

ii. Ablage des signiertes Zertifikates auf der PKI- 
Karte des Kaufers mithilfe der passwortgeschiitz- 
ten Schreibfunktion nach Anspruch 2 und 

iii. Ubergabe von PKI-Karte und Datentrager mit 
Software an den Kaufer. 

5. Verfahren nach Anspruch 4, dadurch gekennzeich- 
net, dass der festzulegende Lizenztyp eine klare Aus- 
sage dariiber enthalt, auf wie viel verschiedenen Perso- 
nalcomputem die Software parallel oder sequenziell 
eingesetzt werden darf. 

6. Verfahren fur die Auslieferung der zu lizenzieren- 
den Software auf CD-ROM nach Anspruch 4, dadurch 
gekennzeichnet, dass die Saftware keine Installations- 
prozedur oder nur einen kleinen Teil davon enthalt. 
Statt dessen wird die Installationsprozedur vor der In- 
stallation des Softwareproduktes iiber eine Intemetver- 
bindung zum Herstellerserver in einem mehrstufigen 
sicheren Verfahren auf den Nutzer-PC hemnteigela- 
den. Die Stufen sind: 

i. Teil 1 der Installationsprozedur wird signiert 
heruntergeladen und ausgefiihrt. Teil 1 enthalt nur 
die zufalHge Generierung eines symmetrischen 
Schlussels, dessen Verschliisselung mit dem 6f- 
fentUchen Schliissel des Herstellerservers sowie 
die Riicksendung des verschlusselten Schlussels 
an den Herstellerserver. 

ii. Teil 2 der Installationsprozedur wird im Her- 
stellerserver mit dem synrunetrischen Schliissel 
verschlusselt und an Teil 1 im Nutzer-PC gesen- 
det. 

iii. Teil 2 der Installationsprozedur wird im Nut- 
zer-PC mit dem synunetrischen Schliissel ent- 
schliisselt. 

7. Verfahren nach Anspruch 6 unter Verwendung der 
Hardwareidentifikation des aktuellen Personalcompu- 
ters, dadurch gekennzeichnet, dass vor der Ausfiihrung 
der Installationsprozedur zunachst durch den Herstel- 
lerserver diese Hardwareidentifikation festgestellt und 
nach Anspruch 5 als zulassig erkannt werden muss, 
und dass im positiven Fall zuerst ein aktualisiertes Zer- 
tifikat auf die PKI-Karte geschrieben wird, und zwar 
mithilfe des herstellerspezifischen Passwortes nach 
Anspruch 2. Das aktualisierte Zertifikat enthalt neben 
den Informationen nach Anspruch 4 zusatzlich die fest- 
gesteUte zulassige Hardwareidentifikation. 

8. Verfahren nach Anspriichen 2 und 7, dadurch ge- 
kennzeichnet, dass das herstellerspezifische Passwort 
geheim bleibt, weil es nur in verschliisselter Form (mit 
dem ofifentHcheti SchlOssel der PKI-Karte) an die PKI- 
Karte ubermittelt wird. 

9. Verfahren nach den Anspriichen 6, 7 und 8, dadurch 
gekennzeichnet, dass die Installationsprozedur nach ih- 
rer Ausfiihrung sofort geloscht wird, ebenso der zufal- 
lig generierte symmetrische Schliissel, und dass durch 
die Reihenfolge der Ver- und Entschliisselungen ausge- 
schlossen wird, dass der Kaufer oder eine andere unau- 
torisierte Person in den Besitz der Installationsprozedur 
gelangt. 

10. Verfahro) nach Anspruch 7, dadurch gekennzeich- 
net, dass der Nutzer in seinem Zertifikat die Hardwarei- 
dentifikation loschen lassen kann, indem er eine ord- 
nungsgemaBe Deinstallation des Softwar^roduktes 
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durchfiihrt, und dass er damit die Moglichkeit erhalt, 
das Softwareprodukt entsprechend Anspruch 5 mit ei- 
ner anderen Hardwareidentifikation zu installieien. Bei 
der Deinstallation stellt der Nutzer eine Intemetverbin- 
dung zum Herstellerserver hen Nach positive! Priifung 5 
der Deinstallation schreibt der Server ein aktualisiertes 
Zertifikat auf die PKE-Karte, bei dem die aktuelle Hard- 
wareidentifikation gestrichen isL 

11. Verfahren nach den Anspriichen 7 und 10, daduich 
gekennzeichnet, dass der Herstellerserver uner- lO 
wunschte Mehrfachinstallationen wiiksam verhindem 
kann, weil er bei jedw Neuinstallation am vorhandenen 
Zertifikat zweifelsfirei erkennt, ob zuvor korrekt dein- 
stalliert wurde. 

12. Verfahren nach den vorhergehenden Anspriichen, 15 
dadurch gekennzeichnet, dass der Nutzer beim Herstel- 
lerserver voUstandig anonym bleibt und keiner Weise 
registriert zu werden braucht Aus diesem Grund bend- 
tigt der Herstellerserver auch keinerlei Administration 
bzgl. d^ Nutzer; die das in Frage stehende Software- 20 
produkt gekauft haben bzw. einsetzen, Der Hersteller- 
server kennt ledigUch die herunter zu ladende Soft- 
ware, den Lizenzinhalt, das herstellerspezifische Pass- 
wort, das fiir alle PKI-Karten gleich ist, und die Ver- 
schliisselungsprozedur mit dem symmetrischen 25 
Schlussel nach Anspruch 6. 
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